Jetzt Mitglied werden!
eRecht24.de

DeepSeek & Datenschutz

Kann ich DeepSeek nutzen, ohne persönliche Daten zu gefährden?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(1 Bewertung, 5.00 von 5)

Das Wichtigste in Kürze

  • Wer DeepSeek nutzen möchte, sollte sich über die exzessive Datenerhebung und -verarbeitung des chinesischen KI-Tools bewusst sein.
  • Probleme beim Datenschutz bestehen u. a. aufgrund der Datenspeicherung auf chinesischen Servern und diversen Verstößen gegen die DSGVO.
  • Unternehmen, die DeepSeek trotzdem einsetzen, riskieren eine Haftung bei Datenschutzverstößen und Rechtsunsicherheit.
Ich möchte mich ausführlich informieren Ich möchte mein Unternehmen absichern

Worum geht's?

DeepSeek ist ein chinesisches KI-Unternehmen, das durch sein gleichnamiges Sprachmodell Anfang 2025 international für Aufruhr gesorgt hat. In den Schlagzeilen stand jedoch nicht nur die immense Leistungsfähigkeit des KI-Tools, sondern auch der mangelhafte Datenschutz, Verstöße gegen die DSGVO und die nicht ungefährliche Datenübertragung nach China. Doch was heißt das konkret für Nutzer: Finger weg von DeepSeek – oder lässt sich die KI doch datenschutzkonform einsetzen?

 

1. Was ist DeepSeek?

DeepSeek ist ein auf künstlicher Intelligenz basierendes Sprachmodell, entwickelt vom gleichnamigen chinesischen Unternehmen mit Sitz in Hangzhou. Im Vergleich zu anderen großen KI-Chatbots wie ChatGPT erzielt DeepSeek-R1 ähnliche Ergebnisse – benötigt jedoch nur einen Bruchteil der Rechenleistung.

Die Veröffentlichung im Januar 2025 sorgte international für Aufsehen und versetzte die Tech-Welt rund um Open AI (ChatGPT), Gemini (Google), Llama (Meta) und Copilot (Microsoft) in Aufruhr. Und zwar nicht nur, weil der chinesische KI-Anbieter innerhalb weniger Monate ein Modell entwickeln konnte, das den Big Playern in puncto Fähigkeiten und Geschwindigkeit in nichts nachsteht – sondern auch, weil sich die künstliche Intelligenz viel günstiger betreiben lässt. Im Vergleich zu ChatGPT 01 sind die Betriebskosten für DeepSeek 95 Prozent geringer.

Aufsehen erregte die chinesische KI in den letzten Monaten aber nicht nur aus diesen Gründen, sondern auch wegen des mangelhaften Datenschutzes. Mittlerweile ziehen immer mehr Unternehmen und öffentliche Stellen ihre Konsequenzen. So hat etwa die australische Regierung die App auf allen Geräten von Beschäftigten verboten und auch die Mitarbeiter von Unternehmen wie Microsoft dürfen sie nicht mehr geschäftlich verwenden.

2. Kann ich DeepSeek datenschutzkonform in meinem Unternehmen nutzen?

Kurz und knapp: Nein, das geht aktuell nicht. DeepSeek erfüllt nicht die Anforderungen an den Datenschutz, der in Deutschland und der EU u. a. durch die Datenschutz-Grundverordnung (DSGVO) geregelt ist. Das hat mehrere Gründe.

Problem 1: Unzureichender Datenschutz

DeepSeek erhebt bei der Nutzung eine Menge Daten. Dazu gehören technische, aber auch persönliche Daten:

  • Personenbezogene Daten wie E-Mail-Adresse, Telefonnummer, Geburtsdatum
  • Nutzereingaben wie Prompts, Chatverläufe, Audiodaten, hochgeladene Dateien
  • Technische Daten wie IP-Adresse, Geräte- und Browserinformationen, Betriebssystem, Standortdaten
  • Verhaltensdaten wie Tippgeschwindigkeit und -rhythmus, Nutzungsdauer, Interaktionen mit der Plattform

WICHTIG

Personenbezogene Daten stehen gemäß der DSGVO unter einem besonderen Schutz. Diesen muss das Unternehmen oder die Person gewährleisten, das oder die die Daten erhebt, speichert, verarbeitet oder an Dritte übermittelt. DeepSeek macht das aber nicht – zumindest nicht in dem von der DSGVO vorgeschriebenen Umfang.

Problem 2: Kein legitimer Datenaustausch zwischen China und der EU

Bei der Nutzung von DeepSeek werden Daten nicht nur erhoben, sondern auch gespeichert und übermittelt. Diese Datenverarbeitung findet zwischen dem in der EU ansässigen Nutzer und China statt – und das ist nicht mit der Datenschutz-Grundverordnung vereinbar.

Die DSGVO sieht einen legitimen Datenaustausch nur zwischen Ländern vor, deren Datenschutzniveau mit dem der EU vergleichbar ist. In den USA ist das beispielsweise aktuell durch das Data Privacy Framework (DPF) sichergestellt. Für China gibt es ein solches Datenschutzabkommen aber nicht (und auch keine Alternative wie Standardvertragsklauseln), weshalb ein sicherer Datenaustausch nicht gewährleistet werden kann.

Problem 3: Datenspeicherung auf chinesischen Servern

Die erhobenen Nutzerdaten werden auf Servern in China gespeichert. Auch das ist aus datenschutzrechtlicher Sicht ein Problem. Denn: Gemäß Artikel 44 bis 49 DSGVO müssen Unternehmen genaue Angaben dazu machen, wo die Server stehen, auf denen die Daten liegen. Außerdem müssen sie angeben, auf welche Rechtsgrundlage sie sich für die Verarbeitung der Daten berufen.

Beidem kommt DeepSeek nicht in angemessener Weise nach. Das Unternehmen macht weder genaue Angaben zu seinen Serverstandorten, noch klärt es transparent in einer DSGVO-konformen Datenschutzerklärung über die Rechtsgrundlage der Datenverarbeitung auf.

Sören Siebert
Sören SiebertRechtsanwalt

Es heißt nur pauschal, dass die Nutzerdaten für vielfältige Zwecke verwendet werden können und dass DeepSeek nach chinesischem Recht zur Herausgabe der Daten an Geheimdienste und Sicherheitsbehörden verpflichtet sein kann. Und hier kommen wir zum nächsten Problem: Die Übermittlung sensibler Daten in einen autoritären Staat.

Problem 4: Zensur und Propaganda

In China gibt es keine unabhängigen Unternehmen. Alle Unternehmen sind per Gesetz dazu verpflichtet, auf Anfrage mit den Behörden zusammenzuarbeiten. Dazu gehört auch die Herausgabe von Daten. Heißt: Die Daten, die Sie bei der Nutzung von DeepSeek eingeben, können gar nicht umfassend geschützt werden, da dies den chinesischen Cybersicherheitsgesetzen widersprechen würde.

Auch können Inhalte beeinflusst und zensiert werden, wenn sie sich gegen die chinesischen Staatsinteressen richten. So sind z. B. Antworten auf Fragen rund um Themen wie Taiwan, Hongkong oder zu Menschenrechten zensiert und kritische Anfragen mit Begriffen wie “Tiananmen-Massaker” erhalten keine oder nur eingeschränkte Antworten.

ACHTUNG: DATENSCHUTZ IST NICHT ALLES

Datenschutzaufsichtsbehörden warnen zudem davor, dass KI-Anwendungen aus autokratischen Staaten wie DeepSeek dazu genutzt werden können, die Meinungen und Ansichten westlicher Nutzer im eigenen Interesse zu beeinflussen.

Problem 5: Kein AV-Vertrag und weitere DSGVO-Verstöße

DeepSeek bietet seinen Nutzern keinen AV-Vertrag an, obwohl bei der Verarbeitung personenbezogener Daten durch das Tool eine Auftragsverarbeitung vorliegt. Eigentlich müsste der AV-Vertrag die Rechte und Pflichten von Ihnen als Verantwortlichen und DeepSeek als Auftragsverarbeiter regeln. Da es einen solchen Vertrag nicht gibt, ist eine DSGVO-konforme geschäftliche Nutzung des Tools allein aus diesem Grund unmöglich.

Auch hat DeepSeek als Nicht-EU-Unternehmen keinen gesetzlichen Vertreter für seine Tätigkeit in der Europäischen Union benannt, obwohl die DSGVO dies vorschreibt. Damit ist der nächste Verstoß gegen die Datenschutzgrundverordnung gegeben, was die deutschen Landesdatenschutzaufsichtsbehörden mehrerer Bundesländer dazu angehalten hat, ein Prüfverfahren gegen das chinesische Unternehmen einzuleiten. Beteiligt sind die LfD Niedersachsen, Berlin, Rheinland-Pfalz, Baden-Württemberg, Thüringen, Sachsen-Anhalt, Hessen, Bremen.

3. Welche Probleme entstehen, wenn ich DeepSeek nutze?

Dadurch, dass sich DeepSeek nicht datenschutzkonform nutzen lässt, können Sie einige Probleme bekommen, wenn Sie das Tool trotzdem geschäftlich einsetzen. Folgendes sollte Ihnen bewusst sein:

  • Betroffene können ihre Rechte nicht einfordern: Lassen Sie fremde Daten (z. B. von Kunden) durch DeepSeek verarbeiten, haben die betroffenen Personen laut DSGVO bestimmte Rechte wie das Recht auf Berichtigung und Löschung. Als Datenschutzverantwortlicher müssen Sie die Erfüllung dieser Rechte sicherstellen – das können Sie aber nicht, weil Ihnen DeepSeek keine Möglichkeit dafür gibt.
  • Rechtsunsicherheit bei offenen Fragen: DeepSeek hat keinen gesetzlichen Vertreter in der EU. Für Sie heißt das, dass Sie bei Rechtsfragen keinen Ansprechpartner haben, an den Sie sich wenden können. Datenschutzverstöße können dadurch zudem kaum durch Behörden unterbunden werden.
  • Mangelnde Kontrolle: Es ist nicht klar, wie lange DeepSeek erhobene Nutzerdaten speichert und zu welchen Zwecken diese verarbeitet oder mit Dritten geteilt werden. Auch gibt es derzeit kaum öffentliche Angaben zu Sicherheitsstandards, Verschlüsselungstechnologien und Missbrauchsschutz.
  • Haftungsrisiko: Bei einer Auftragsverarbeitung bleiben Sie als Unternehmen verantwortlich für den Schutz fremder Daten. Da Sie dies jedoch kaum beeinflussen können, stellt die Nutzung des KI-Tools ein Haftungsrisiko dar.

GUT ZU WISSEN

Einige Risiken wie die Datenübertragung nach China lassen sich eindämmen, indem Sie die KI-Anwendung lokal betreiben, d. h. nicht über die Website oder App, sondern auf einem eigenen Computer oder Server. Technisches Know-how ist hier vorausgesetzt.

4. Fazit: Datenschutz bei DeepSeek? Kaum vorhanden

Da Sie als Nutzer kaum Kontrolle über Ihre Daten haben, sollten Sie mit dem Einsatz des KI-Tools sehr vorsichtig sein. Besonders im geschäftlichen Kontext sollten Sie ganz darauf verzichten – hier gibt es geeignetere Alternativen mit höheren Anforderungen an den Datenschutz.

Vergessen Sie nicht: Als Unternehmen müssen Sie die Einhaltung der Datenschutz-Grundverordnung sicherstellen, sobald Sie in irgendeiner Art und Weise personenbezogene Daten von Dritten erheben – sei es von Mitarbeitern, Kunden oder Geschäftspartnern. Die Größe Ihres Unternehmens spielt dabei keine Rolle. Für Solo-Selbstständige und Freelancer gilt die DSGVO genauso wie für Großkonzerne.

Möchten Sie – aus welchen Gründen auch immer – trotzdem nicht auf die Nutzung verzichten, sollten Sie zumindest keine persönlichen oder vertraulichen Informationen eingeben. Informieren Sie Ihre Mitarbeiter über die potenziellen Risiken hinsichtlich DeepSeek, KI und Datenschutz. Ohnehin müssen Sie seit Februar 2025 gewisse KI-Schulungspflichten erfüllen, die die KI-Verordnung (AI-Act) für Unternehmen vorsieht.

JETZT ANFRAGEN

Haben Sie Interesse an einer Schulung?

Die Kanzlei Siebert Lexow bietet regelmäßig Schulungen für Unternehmen nach Art. 4 KI-VO an.
  • 2-Stunden-Schulung inkl. aller Materialien
  • KI-Expertise zu technischen und rechtlichen Grundlagen
  • inkl. Zertifikat für jeden Teilnehmer
JETZT ANFRAGEN

 

Sophie Suske
Sophie Suske, M.A.
Legal Writerin, freiberuflich

Sophie Suske hat einen Masterabschluss in Sprach- und Kommunikationswissenschaften. Angefangen in der juristischen Redaktion eines Legal Tech Start Ups bereichert sie seit 2022 mit ihrer Expertise das Redaktionsteam von eRecht24 als freie Legal Writerin. Ihre inhaltlichen Schwerpunkte liegen dabei im Datenschutz, E-Commerce- und Markenrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details